クラウドを活用したBCPとは?活用例と注意点・導入ステップ5つ
福岡 幸二(ふくおか こうじ)
「BCP対策にクラウドを活用してと指示があったけど、何から手をつければいいだろう」
「クラウドを利用していればBCP対策も安心だと思ってたけど、間違ってる?」
「BCPのためにクラウドを導入したけど、何も対策しなくて大丈夫かな?」
BCP対策におけるクラウド活用では、「クラウド(外部)にデータを保存する」というだけでなく、自社が被災しても即座に業務を再開できる仕組みそのものを構築することが重要です。
ただ「クラウドに置いておけば安心」と過信してしまうと、クラウドの利点を最大限発揮できない可能性があるため注意が必要です。
この記事では「実効性のあるBCP」を策定するために、BCPにおけるクラウドの活用例だけでなく、活用するうえでの注意点、導入ステップ、そして重要な「サービス選定のポイント」までを丁寧に解説していきます。
この記事を読み終えるころには、クラウドを活用した実効性のあるBCP体制の作り方をイメージできるはずです。ぜひ最後までお読みください。
目次
1. BCP対策におけるクラウド活用とは
BCP(事業継続計画)対策におけるクラウド活用とは、クラウドが持つメリット・恩恵を最大限活用することで、地震や火災、感染症、テロ、サイバー攻撃などさまざまな緊急事態が起こった場合の損害を最小限に抑え、事業を早期に復旧・継続することを意味します。
たとえば、社内サーバーにしかない資料・データをクラウド上に移しておけば、自社施設が火災で焼失したとしても別の場所で事業を継続できます。また、普段から経理業務や顧客管理にクラウドサービスを活用していれば、同様に自社が被害を受けても早期に業務を再開できます。
自社でサーバーを構築・管理する「オンプレミス」は、地震や火災でオフィスが被災すると、事業が完全に停止してしまうリスクがあります。一方で、遠隔地かつ堅牢なデータセンターで運用されているクラウドは、BCPの観点からも非常に優れた選択肢です。
BCP対策でクラウドを活用するメリット
- 資産の安全性:堅牢かつ最新セキュリティ対策を講じているクラウドでデータを保管することで、物理的損壊やサイバー攻撃のリスクを下げることができる
- 場所の自由度:データがクラウドにあるため、自社が被災してもネット環境さえあれば、社外から業務を継続(または早期再開)できる
- コスト(復旧・維持):自社で専用サーバーを構築・管理するよりも、安価に構築・運用できる
しかしながら、「ただクラウド上にデータを保管しているだけ」「ただクラウドサービスを使っているだけ」では、BCP対策が万全とはいえない点に注意が必要です。
なぜならば、使用しているクラウドサービスの堅牢性が低ければ、どんなに社内で高度なBCP対策をしていても意味がなくなってしまうからです。
また、「クラウドなら安心」と慢心してしまい、社内で本来行うべき対策を怠ってしまうことは大きなリスクとなります。
※堅牢性が高いクラウドの選び方や、自社で補えるBCP対策については、後ほど詳しく解説します。
2. BCP対策におけるクラウド活用例とそのメリット
ここからは、BCPにおいてクラウドが具体的にどのような形で活用できるのか、どのようなメリットがあるのか、4つの活用例をもとに解説していきます。
BCP対策におけるクラウドの活用例
- クラウドにデータを移して脅威から守る
- クラウドの高度なセキュリティ対策を利用する
- 業務をクラウド化して事業停止を回避する
- 連絡手段をクラウド化して迅速な安否確認・初動対応を実現する
クラウドは、単にデータの保管場所としてだけでなく、サイバー攻撃からの防衛や、被災時の業務継続を支える「インフラそのもの」として機能します。
「すでにクラウドサービスを利用している」という方も、BCPの文脈のなかで「なぜクラウドが優れているのか」を改めて理解することが大切です。
「現在の自社の運用で本当にBCPを意識した備えができているか?」「拠点やサーバーが被災した瞬間に、守るべきものが失われないか?」など、自社の現状をセルフチェックしながら読み進めてみてください。
2-1. クラウドにデータを移して脅威から守る
BCP対策におけるクラウド活用の代表的な例として、社内データをクラウドへ保存・分散管理する手法が挙げられます。これにより天災による物理的な故障だけでなく、人的ミスやサイバー攻撃といったあらゆる脅威から大切なデータを守り抜くことが可能になります。
すでに多くの企業でクラウドサービスが導入されていますが、利便性の向上に主眼を置いているケースも少なくありません。不測の事態に備えるBCPの観点からも、データの「分散管理」や「遠隔地でのバックアップ」という本来のメリットを再認識し、運用を見直すことが大切です。
自社拠点にあるサーバーやPCが被災しても、データやシステムを遠隔地の堅牢なクラウドセンターへ分散して保持していれば、データの消失・損壊を回避できます。単に「外に置く」だけでなく、自社から離れた地域(リージョン)へデータを逃がす設計が容易な点が、クラウドによるデータ保全の大きな強みです。
活用例1:クラウドにデータを移して脅威から守る
- 被災リスクの分散:自社オフィスが倒壊・浸水しても、データは物理的に離れたセンターにあるため守られる
- 機材トラブルへの耐性:自社機材が経年劣化や予期せぬトラブルで故障しても、クラウド上にデータがあれば即座に復旧できる
- インフラ断絶の回避:停電や落雷で自社の電源が落ちても、クラウド側のデータ消失や破損は発生しない
- 攻撃からの復元:標的になりやすいランサムウェア攻撃を受けても、クラウド側の履歴保存機能で感染前の状態に戻せる
さらに、クラウドサービスによっては、人的ミス(誤削除・上書き)や情報流出(不正な持ち出し)を防ぐ高度な管理機能も備わっています。これにより物理的な災害だけでなく、日常的な運用リスクに対しても「データの保持性」を高い水準で維持できます。
【データ消失リスクの観点からみたオンプレミス・クラウドの比較表】
| 比較項目 | オンプレミス(拠点集中) | クラウド(拠点分散) |
|---|---|---|
| 被災時の安全性 | 自社が被災した場合、建物と共倒れになり、データが消失してしまう | 自社が被災してもデータはクラウド上の安全な場所に保管されているため、データ消失を回避できる |
| 停電への耐性 | 災害などにより広範囲で停電が起きた場合、ハードディスクやサーバーの情報が消失する可能性がある | クラウド上にデータを置いておけば、自社の停電でデータ消失することはなく、電源が復旧次第ビジネスを再開できる |
| 被災時の社外からのアクセス | 停電や倒壊、浸水などで回線が分断されると、社外からのアクセスも完全に遮断されてしまう | ネット環境さえあれば、自宅や避難所からいつでもクラウドサービスにアクセスできる |
| 機材の故障・劣化 | 経年劣化や災害の衝撃・停電をきっかけに突然故障するリスクがあり、修理や部品調達のために復旧が長期化しやすい | クラウド提供会社側の最新かつ安全なシステム環境をネット越しに利用し続けられるため、故障リスクはほとんどない |
| サイバー攻撃 | 脆弱性のある古い環境が狙われやすく、自社のみで最新の脅威を防ぎ続けるのは困難/一度侵入を許すとデータの修復や復旧に膨大な時間を要する | セキュリティ体制が強固なクラウド事業者を選べば、自社で対策するよりもインシデントの発生リスクを大幅に抑えられる |
自社拠点が壊滅的な被害を受けたり社内ネットワークが攻撃されたりしても、情報・データを守り抜くことができ、事業を継続(または早期に復旧)することが可能です。
2-2. クラウドの高度なセキュリティ対策を利用する
BCP対策において、災害と同じく脅威となるのがサイバー攻撃やシステム障害です。クラウド事業者側が講じている高度なセキュリティ対策を利用できるのも、クラウドを活用する大きな目的となります。
進化しつづけるサイバーリスクに自社で対応しつづけるのは、膨大なコストと専門知識が必要です。クラウドを活用すれば、事業者の高度なセキュリティ基盤をそのまま「自社の守り」として利用でき、コストを抑えられるのは大きなメリットです。
※ただし、すべてのクラウドサービスのセキュリティ対策が万全とは言い切れません。BCPの基盤として「本当に安心・安全といえるクラウド」を厳選することが極めて重要です。また、クラウドに任せきりではなく、適切に設定することも必要となります。
活用例2:クラウドの高度なセキュリティ対策を利用する
- 最新の防御壁を自動更新:クラウドベンダー側で24時間体制でシステムの監視・アップデートを行うため、自社で手間をかけずに常に最新の脅威(ウイルスなど)から守られる
- アクセス制限の管理・制限:社員ごとに必要なデータへのアクセス権限を細かく設定でき、内部不正や誤操作による情報漏えいのリスクを最小化する
- 復旧プロセスの自動化:万が一システムに異常が起きても、クラウド側の予備システムへ自動で切り替わる仕組みを構築でき、業務停止時間を極限まで短縮できる
- 高度な暗号化技術:通信や保存データの暗号化が標準提供されており、物理的な機材盗難やネットワーク傍受による情報流出を強固に防ぐ
高度な管理機能を備えたクラウドサービスなら、内部的な不正リスクに対しても有効に働きます。たとえば、悪意を持った社員によるデータの故意な上書き・削除が行われても、操作ログ(誰がいつ何をしたか)が詳細に記録されているため、不正の早期発見や証拠の確保が可能です。
さらに、データの持ち出し(ダウンロード)を特定の端末や権限のみに制限することで、重要な機密情報の外部流出を未然に防ぐことができます。
【サイバーリスクの観点からみたオンプレミス・クラウドの比較表】
| 比較項目 | オンプレミス(自社運用) | クラウド(クラウド事業者にお任せ) |
|---|---|---|
| セキュリティの更新 | システムの欠陥を塞ぐための修正プログラム(パッチ)を自社スタッフが手動で適用する必要があり、更新が遅れた隙(脆弱性)を突かれるリスクが常に付きまとう | 事業者が自動実施するため、ユーザーが意識しなくても常に最新の状態にアップデートされる |
| 監視・検知体制 | 24時間の監視体制には膨大な人件費がかかり、深夜や休日の攻撃に対して検知が遅れて被害が拡大する恐れがある | 信頼できるクラウドサービスであれば、専門要員による24時間365日の監視・検知・対応の体制が整っているため安心 |
| 対策コスト | システム担当の採用・教育コストに加えて、最新のセキュリティ体制を維持するために多額の投資が必要 | クラウドサービスの利用料はかかるが、同等のセキュリティ体制を自社で整えるより安く維持できる |
このように、外部からの攻撃と内部的な不正の両面をカバーできる体制を自社負担なく構築できることが、クラウド化の大きな利点です。セキュリティ担当者が不在の組織でも、大手企業並みの堅牢なIT基盤を維持し続けることが可能になります。
2-3. 業務をクラウド化して事業停止を回避する
BCP対策において、災害やサイバー攻撃など有事の事態でも業務を止めないよう、普段の業務をクラウド化しておくという視点もあります。
勤怠管理や経理業務などで「すでにクラウドサービスを活用している」という企業も多いでしょう。これも立派なBCPです。
社内システムや事務手続きが特定の拠点に依存していると、被災による出社不能や停電が起きた際に、すべての事業活動がストップしてしまいます。主要な業務プロセスをクラウド化することで、インターネット環境さえあれば、いつ、どこにいても同じように仕事を回せる環境を維持できるため、従業員の安全とBCPの両立が実現できるといったメリットもあります。
活用例3:業務プロセスのクラウド化の例
- オンプレミスサーバーのIaaS移行(AWS・Azureなど):自社サーバーやシステムをクラウド上の仮想サーバーへ移行します。自社が停電・浸水しても、システムは強固なデータセンターで稼働し続けるため、業務を継続できます。
- VDI・DaaS(仮想デスクトップ基盤):会社のPCが破損したりオフィスから持ち出せなかったりしても、代替の端末から「クラウド上の自分のデスクトップ」へ安全にログインし、平常時と同じ作業環境を再現できます。
- クラウド業務ソフト(Salesforce・kintoneなど):顧客情報や商談状況をクラウドに保存するため、オフィスが被災しても外から業務を継続できます。
- クラウド会計・人事労務ソフト(マネーフォワード・freeeなど):社内の専用PCに依存せず、どこからでも決済や振込処理、事務処理が可能になります。
- クラウド文書管理システム:契約書や図面、マニュアル、過去の決裁文書などの重要書類をクラウド上で一元管理します。紙の書類が汚損したとしても、クラウド上にデータが残っていれば事業を継続できます。
- クラウド署名・電子契約(クラウドサインなど):あらかじめオンラインで法的に有効な契約や承認を完結できる仕組みを入れておけば、いつでもどこでも事業を続けることができます。
- Web会議システム(Zoom・Google Meetなど):会議室などが使えなくなったとしても、迅速な意思決定や状況共有の場を確保できます。さらに営業・訪問もオンラインミーティングで実施できます。
以下のように既存の業務プロセスとクラウド活用を比較してみると、クラウドがBCPにおいて重要な理由が見えてきます。
【業務プロセスの観点からみた従来型とクラウド活用の比較表】
| 比較項目 | 拠点依存の運用(従来型) | 場所を選ばない運用(クラウド活用) |
|---|---|---|
| 業務の実施場所 | 社内ネットワークや特定のPCからしかシステムが使えない場合、オフィスの被災や立ち入り制限で業務がストップしてしまう | インターネット環境さえあればどこからでも利用できるため、オフィスが被災しても自宅や避難所を「臨時の事務所」として即座に業務を再開できる |
| 意思決定・承認 | 紙の書類や社内の専用端末に依存していると、決裁者が不在だったり出社できなかったりする場合に承認が滞り、緊急時の判断が遅れる原因となる | スマホやタブレットからいつでも承認・決裁が行えるため、メンバーが各地に分散していても停滞することなくスピーディーに意思決定を下せる |
万が一災害に遭っても、主要な業務に必要な作業をクラウド上で行えるようにしておけば、「オフィスに行けない=仕事が止まる」を回避できます。
2-4. 連絡手段をクラウド化して迅速な安否確認・初動対応を実現する
災害発生直後の現場は混乱を極め、情報の集約が困難になります。「電話がつながらない」「誰が無事か分からない」といった状況下で、クラウドサービスによる情報の自動集約機能・通知機能は、事態を打開する極めて有効な手段になります。
管理者が指示を出す前にシステムが初動を肩代わりしてくれるため、組織として冷静な対応が可能になります。混乱の中でも、責任者の心理的・物理的な負担を軽減しつつ、迅速かつ確実に全員への安否確認や指示を届けられる点は、クラウド活用ならではの大きなメリットです。
活用例4:連絡手段のクラウド化による安定した初動対応
- ビジネスチャット(LINE WORKS・Slack・Teamsなど):
通信規制の影響を受けにくいインターネット経由で、迅速な指示共有が可能です。有事専用のチャンネルを作成しておくことで、情報の断片化を防ぎ、現場の状況(写真・位置情報)をリアルタイムで一元管理できます。 - 安否確認システム:
気象庁の地震情報と連動して、発生と同時に社員へ安否確認を自動送信します。回答は自動集計され、管理者はダッシュボードを見るだけで「誰がどこで被災したか」を把握できます。「一人ひとりに連絡する」という平時とは異なる負荷のかかる作業をシステムが代行します。 - クラウド型PBX(スマホで会社の代表電話発着信):
オフィスの固定電話ではなく、スマホやPCで会社の番号を使えるようにします。「電話番のために出社する」「電話がつながらず顧客を不安にさせる」といったリスクを解消し、避難先からでも取引先や顧客との信頼関係を維持できます。
【連絡手段のアナログ型・クラウド型の比較表】
| 比較項目 | アナログ型 | クラウド型(安否確認システムの場合) |
|---|---|---|
| 安否確認のスピード | 担当者が一人ひとりにメール・電話で安否を確認する必要があり、確認作業にかなりの時間がかかる | 気象庁の情報と連動して安否確認メールが自動送信される機能などがあり、即座に状況把握を開始できる |
| 回答の集計・把握 | 全社員からの返信を手作業で集計しなければならず、誰が未回答で誰が危険な状態にあるのかをリアルタイムに判別するのが困難である | 社員の回答結果が自動かつリアルタイムに集計・グラフ化されるため、救助が必要な社員や出社可能な人数を一目で把握できる |
| 指示伝達の確実性 | 一人ひとりに確実に指示を出すのは大変であり、初動が遅れたり混乱を招いたりする可能性が高い | 災害時に遅延しない強固なシステムを選べば、確実かつ一斉に「次のアクション」を全社員へ共有できる |
連絡手段をクラウド化しておくことで、災害という極限状態においても「システムが初動を支える」体制が整います。
3. ただし「クラウド=BCP対策が万全」ではない点に注意が必要
前章では、被災時でも場所を問わず業務を継続できるといった、BCP対策におけるクラウド活用の活用例をお伝えしました。
しかし、クラウドは「導入すればそれだけで安心」という万能な解決策ではなく、その特性に起因する特有のリスクや限界を正しく把握し、事前に対策を講じておく必要があります。
本章では、「クラウドなら安心」と過信せず、BCPの実効性を極限まで高めるために理解しておくべき4つの注意点を解説します。
BCPにクラウドを活用するときの注意点
- SaaSかIaaSかで「セキュリティ対策として関われる幅」が異なる
- ネット回線が絶たれればつながらなくなる
- 被災時でもログインできるよう管理しなければならない
- クラウドサービス自体が停止する可能性もゼロではない
導入後に「こんなはずではなかった」と後悔しないために、しっかり理解しながら読み進めてみてください。
3-1. 注意点1:IaaSかSaaSかで「セキュリティ対策として関われる幅」が異なる
クラウドサービスには、大きく分けて「IaaS(アイアース)」「PaaS(パース)」「SaaS(サース)」の3種類があり、どのクラウドを利用するかによって、自社がセキュリティ対策に関与できる範囲が大きく変わります。
クラウド形態別「セキュリティ対策できる範囲」の違い
- IaaS(インフラ提供型):サーバーやネットワークという「箱」だけを借りる形態です。OSの選定からパッチ適用まで、セキュリティ対策のほぼすべてを自社でコントロールできる反面、管理漏れはすべて自社の責任となります。
- PaaS(プラットフォーム提供型):OSなどの土台は用意されていますが、その上で動かすアプリやデータ管理は自社で行うため、IaaSよりは負担が減るものの、自社開発した部分の脆弱性対策などは引き続き自社で責任を持つ必要があります。
- SaaS(ソフトウェア提供型):完成されたサービスをそのまま利用する形態です。ユーザーが中身のセキュリティ設定に関与できる幅は極めて限定的ですが、その分、「高度な守りそのものをサービスとして享受できる」というメリットがあります。
自社の独自の基準で細かくセキュリティ対策を講じたいのであればIaaSが適していますが、高度な専門知識を持つ人材の確保や24時間の運用監視を自社で完結させることは、多くの組織にとって現実的ではありません。
そのため、運用の手間を省きつつ強固なBCP体制を築きたい場合はSaaSを選択することになります。その際、セキュリティの質は「どのベンダーを選ぶか」に100%依存することになるので注意しましょう。
自力で対策ができないSaaSだからこそ、セキュリティ対策を万全に講じているクラウドサービスを見極めることが何よりも大切です。
3-2. 注意点2:ネット回線が絶たれればつながらなくなる
クラウドの最大の弱点は、インターネット接続が前提であることです。とくにオフィスで契約している固定回線が、電柱の倒壊や基地局の被災によって遮断されると、社内からは一切のクラウドサービスへアクセスできなくなります。
もちろん移動した拠点や自宅のネットからアクセスすることはできますが、災害時も会社から平常時と変わらず業務を続けたい場合は、以下のような対策も講じておくといいでしょう。
通信・データを途絶えさせないための対策例
- ネット回線の多重化:メイン回線(光回線)に加えてバックアップ回線(モバイル回線)を用意しておく、配管の経路を変えるなどの対策が有効です。
- リージョン分散による拠点二重化:サービス側のデータセンター自体が被災するリスクに備え、データを東日本と西日本など、物理的に離れた複数の拠点で保持(冗長化)する設定が必要です。
- データの冗長化(3-2-1ルール):「3つのコピーを作成し、2つの異なる媒体に保存し、1つは遠隔地(クラウド)に置く」というバックアップの原則を徹底しましょう。
このように、通信環境と「データの置き方」を二重・三重に整えておくことが、有事でも普段どおりに業務を継続するために重要です。
3-3. 注意点3:被災時でもログインできるよう管理しなければならない
BCP対策でクラウドを有効に使うためには、被災時の混乱状態でも確実にシステムへログインできる体制を整えておく必要があります。
たとえば、ローカル環境にしかパスワードが保存されていないと、避難場所からログインできず業務ができなくなる可能性があります。また、システム管理者が被災してパスワードリセットの対応が不可能になることで、組織全体の業務が立ち往生する恐れがあります。
こうした災害時の混乱を避けるためには、以下のような対策を講じておくと安心です。
セキュリティと利便性を両立させる対策例
- 認証基盤の統合(SSO)と多要素認証の併用:シングルサインオン(SSO)を導入して一つのパスワードで複数サービスにログインできるようにしつつ、SSO自体へのログインにプッシュ通知などの多要素認証を組み合わせる
- 最新の認証方法(FIDO認証など)の採用:複雑なコード入力の代わりに、指紋や顔認証、あるいは公開鍵を利用する「FIDO認証」などのパスワードレスな仕組みを取り入れる
- 運用手順の明確化とデバイス制限の活用:許可された端末(会社支給スマホ等)からのみアクセスを許可するなどの物理的な制限をかけつつ、ログイン手順を文書化して定期的なBCP訓練を行う
「被災時のアクセスの確実性」と「第三者による不正利用の防止」を矛盾なく成立させる運用体制を確立することは、BCPにクラウドを活用するうえで大切な視点となります。
3-4. 注意点4:クラウドサービス自体が停止する可能性もゼロではない
BCP対策としてクラウドサービスを活用しても、信頼性の低い事業者を選んでしまうと、有事の際にシステムが機能しない大きなリスクを抱えることになります。
安全だと思っていたクラウドそのものが、事業者の経営基盤の弱さやインフラの未熟さによって、災害時に真っ先に停止してしまう恐れがありえます。
たとえばセキュリティ体制が甘いサービスを選んでしまうと、災害時の混乱に乗じたサイバー攻撃を防げず、データの消失や流出を招くことになりかねません。
クラウドサービス自体の停止リスクを踏まえた対策例
- 信頼できるクラウド事業者の選定:安定稼働を実現できる堅牢なインフラを持つ事業者を選定しましょう。具体的な選び方のポイントについては5章で詳しく解説します。
- データの外部保存:クラウドだけにデータを置いておかず、定期的にCSV形式などでローカルストレージや別のクラウドへ保存するようにしましょう。
- マルチクラウドの検討:1つの事業者に依存せず、別のクラウドサービスを併用してデータを二重に保持する「分散」が有効です。
- アナログな代替手段:システムが完全に停止した事態を想定し、最低限の業務を紙や電話で進めるためのマニュアルを整備しておきましょう。
クラウドを信頼しつつも、3-2-1ルールを徹底して「使えない」事態まで想定しておくことが、実効性のあるBCP(事業継続計画)を構築するうえで重要です。
4. BCP対策でクラウドを活用するための5つのステップ
BCP対策におけるクラウド活用のメリット・注意点を両面から説明したところで、いよいよここからは、BCPでクラウドを活用するための具体的なステップを解説していきます。
BCP対策でクラウドを活用するための5つのステップ
- 現状の整理・把握をして目標水準を決める
- クラウド活用の方針を策定する
- BCP対策に活用するクラウドサービスを選ぶ
- クラウドサービスを導入・構築する
- BCP計画を更新して定期的に訓練を行う
「いきなりクラウドサービスを選定する」という行き当たりばったりな進め方では、有効なBCPを策定することができません。
まず現状の整理・把握をして守るべき業務の優先順位を付け、自社に最適な活用方針を策定し、次にそれらを実現するクラウドサービスを選定するといった手順を踏むことが大切です。
BCPにおけるクラウドのメリットを最大限引き出せるよう、自社の状況をイメージしながら読み進めてみてください。
4-1. ステップ1:現状の整理・把握をして目標水準を決める
まずは自社の「現在地」を正しく把握することが、BCP対策でクラウドを活用するための第一歩となります。
この部分を曖昧にしたままツールを選んでしまうと、いざというときに「肝心なデータがクラウドに無かった」「復旧に時間がかかりすぎて倒産危機に陥った」という失敗を招くからです。
以下の内容を踏まえて、現状を整理していきましょう。
4-1-1. BIA分析(事業影響度分析)で優先順位を付ける
すべての業務を一度に守るのは難しいため、「1秒でも止まると損害が出る業務」と「復旧をしばらく待ってもいい業務」に仕分けていきます。
具体的には、業務を以下のような「ランク」で仕分け、導入するシステムの方向性を明確にします。
- ランクA(即時復旧):顧客対応、決済システム、受注管理。これらが止まると、数時間で多額の損失や信頼失墜に直結する業務です。
- ランクB(数日以内に復旧):出荷指示、在庫管理、給与計算。数日間は手書きやExcelでの代行が可能ですが、長期化すると事業が停滞する業務です。
- ランクC(1週間以降でOK):経費精算、過去案件のアーカイブ閲覧、社内研修。これらは落ち着いてから着手しても、事業の存続には影響しません。
まずは「これが止まると会社が倒産する」という最優先業務を明確に定義することが、無駄のないクラウド投資と迅速な復旧を実現するために大切です。
BIA分析については「ビジネスインパクト分析(BIA)とは?分析方法やBCPとの関係を紹介」の記事もぜひご覧ください。
4-1-2. 復旧の指標(RPO/RTO/RLO)を設定する
次に、復旧のゴールを「数値」で具体化し、現在の仕組みとの「差(ギャップ)」を確認します。
目標が曖昧だと、「どのレベルのクラウドサービスを選ぶべきか」や「既存ツールでカバーできないか」を客観的に判断できないからです。また、現状の限界を数字で直視することで、クラウド導入による改善効果が明確になり、経営陣への説得力も増します。
具体的には、以下の3つの指標を軸に、それぞれの許容限界を定めます。
- RPO(目標復旧時点):どの時点までさかのぼって復旧をさせるか(0秒、1分、1時間、1日など)
システム障害直前までのデータを復旧させるには、厳格なバックアップ体制が要求される - RTO(目標復旧時間):データをいつまでに復旧させるか(1時間、1日、1週間など)
早い復旧には金銭面や人員面でのリソースが多く必要となる - RLO(目標復旧レベル):どの水準まで復旧をさせれば事業が継続できるか(50%、100%など)
全面的な復旧が必要なのか、とりあえず一部機能の仮復旧が必要なのか
いつ、どこまで、どのレベルで戻すかの目標値を設定しておくことで、導入すべきクラウドサービスのスペックやコスト感が明確になります。
「BCPに欠かせない目標復旧時間(RTO)とは?RPO・RLOとの違いも解説」「【専門家が解説】DRはBCPとどう異なる?策定ポイントも解説」の記事もぜひ参考になさってみてください。
4-2. ステップ2:クラウド活用の方針を策定する
現状を整理した後は、具体的なシステム選定に入る前に、予算や体制といった「対策の大きな方向性」を決定します。
最初に方針を固めておかないと、後から「想定以上にコストがかかる」「運用できる人がいない」といった問題が出てきて、計画が頓挫する可能性があります。
とくにクラウドは、導入コストがかかるだけでなく、継続的な「ランニングコスト」と「社内での運用スキル」が必要なケースもあるため、経営判断としての合意が欠かせません。
具体的には、以下の2つのポイントを軸に方針を策定していきましょう。
既存リソースの活用か、新規投資か
- オンプレ継続+クラウド保管:既存の社内サーバーを使いつつ、バックアップデータをクラウドでも保管する
- フルクラウド移行:社内サーバーを廃止して、すべての業務システムをクラウドへ移す
- ハイブリッド構成(おすすめ):オンプレミスとクラウドを使い分けて、併用させる
内製か、外注か(運用体制の検討)
- 自社運用(内製):ノウハウが蓄積される一方で担当者の不在時がリスクとなる
- アウトソース(外注):クラウドの構築から障害時の切り替え操作まで専門業者に委託。コストはかかるが、確実性が高い
オンプレミスとクラウドを並存させるハイブリッド戦略で、リスクの高い部分からクラウド化していく方針がおすすめです。
4-3. ステップ3:BCP対策に活用するクラウドサービスを選ぶ
方針が固まったら、いよいよその戦略を実現するための具体的なクラウドサービスを選定していきます。
無数のクラウドサービスが存在しますが、BCP(事業継続)という観点から選ぶべきものは、単に便利なだけでなく、「自社が被災しても確実に稼働すること」「慣れていなくても使いやすいサービス」でなければなりません。
サービス選定を誤ると、せっかく予算をかけても「被災時に使えない」という本末転倒な結果を招きかねません。自社の計画にフィットするサービスを見極めることが、実効性のあるBCPを完成させるために重要です。
具体的な選び方や、おすすめのツールについては次の5章で詳しく解説しますので、そちらを参考に比較検討を進めてみてください。
4-4. ステップ4:クラウドサービスを導入・構築する
選定したクラウドサービスを、実際に自社の業務フローに合わせてセットアップするステップです。
大切なデータを自動でバックアップする設定や、社員が非常事態でもアクセスできる権限設定など、あらかじめ「有事の動き」を想定して環境を構築していきましょう。
また、クラウドだけに頼り切りにならないため、以下のような回避策も講じておきましょう。
有事の「アクセス不能」を防ぐ4つの備え
- 停電時に備えて、機器を数時間稼働させられる大容量ポータブル電源やUPS(無停電電源装置)を備蓄しておく(回線が生きていても、ルーターの電源が落ちればクラウドにアクセスできなくなるため)
- クラウドへのログイン情報や緊急連絡先など、初動に不可欠な情報だけはオフライン(物理的なカードや冊子)でも閲覧できるようにしておく(通信障害時に「どこにアクセスすべきか分からない」を防ぐため)
- 自宅や避難先からでも安全に業務が行えるよう、会社支給PC以外の私物端末からでもクラウドへアクセスできる最小限のセキュリティルールを決めておく
- 不慣れな社員でも迷わないよう、クラウドの基本操作をまとめた紙のマニュアルを各個人に持たせておく(管理者不在時でも最低限のデータ閲覧や安否報告を行えるようにするため)
有事の際に「クラウドも使えない」とならないための準備を万全にしておきましょう。
4-5. ステップ5:BCP計画を更新して定期的に訓練を行う
最後のステップは、ここまで構築したクラウドによるBCP対策についてBCPマニュアルに反映し、定期的な訓練を通じてブラッシュアップしていく段階です。
せっかくBCP対策としてクラウド環境を導入しても、うまくBCP計画に反映できていなければ、宝の持ち腐れとなります。定期的なBCPの更新や見直しを実施して初めて、BCPは実効性を持ちます。
BCP計画を更新して定期的に訓練を行うサイクル
- マニュアルをクラウド対応版に更新する
「自社サーバーが止まったら、このクラウドサービスにログインする」など、具体的な操作手順を最新の状態に更新し、全社員がいつでも閲覧できるようにします。 - 操作に慣れるために実際に訓練で操作してみる
BCP計画やマニュアルに記載するだけでなく、実際に地震やサイバー攻撃などのシチュエーションを想定して、クラウドにログインするなどの操作を訓練で行います - 改善点のフィードバックをフィードバックする
訓練で出た現場の声や問題点をキャッチアップして、設定の変更やマニュアルの修正につなげます。
最初から大がかりな訓練をする必要はありません。まずは「全員で一斉にクラウドへログインしてみる」「自宅からスマホで安否報告をする」といった、簡単な操作から始めてみましょう。
なお、BCPの訓練についてさらに詳しく知りたい方は、「BCP訓練とは?すべき理由・種類・具体例から行う時のポイントまで」の記事もぜひ参考にしてください。
5. BCP対策に最適なクラウドサービスを選ぶポイント
ここまで解説したように、BCP対策にクラウドを活用するうえでは「どのクラウドサービスを使うか」が非常に重要となります。
なぜならば、セキュリティ対策の質や操作性、有事の際の動作確実性は、選んだサービスに大きく依存するからです。具体的には以下のようなポイントを基準に、いいサービスを見極める必要があります。
BCP対策に最適なクラウドサービスを選ぶポイント
- データセンターが複数拠点ありリスクを分散できるか
- 操作性の高さ・サポート体制も問題ないか
- クラウドサービス自身のセキュリティ対策も万全か
- 大規模災害時のアクセス集中に耐えられる設計になっているか
クラウド活用のメリットを最大限享受するには、「クラウドサービス選び」で妥協しないことが重要です。
自社拠点が壊滅的な被害を受けたとしても、遠隔地で大切なデータを確実に守り抜き、業務を継続(または早期再開)できるクラウドサービスを選びましょう。
5-1. データセンターが複数拠点ありリスクを分散できるか
クラウドサービス側でデータセンターが複数拠点に分散され、相互にバックアップが取られているかを確認してください。
たとえばクラウド側が「東日本と西日本」のように拠点を分散して運用していれば、広域災害でどこか一箇所のデータセンターが被災しても、別の拠点が稼働を続けることでサービスを停止させずに済むからです。
安心できるクラウドサービスの例(地理的分散の観点)
- 東京と大阪、あるいは日本と海外など、距離を置いた複数のデータセンターで運用されている
- 片方のデータセンターが被災した場合に、自動的に他拠点へ切り替わる仕組みが取り入れられている
- 異なる地震プレートや異なる電力網(電力会社)に拠点が配置されている
- サービス基盤として、世界中に分散された拠点を持つAWS(Amazon Web Services)などの大手インフラを採用している
地理的な分散体制を確保することで、大規模な災害が発生しても共倒れになることなく、大切なデータや環境を守ることができます。
5-2. 操作性の高さ・サポート体制も問題ないか
災害時にも安心して使えるクラウドサービスを選ぶなら、従業員が迷わずに使える操作性の高さと、万全なサポート体制が整っているかどうかも確認しましょう。
万が一、混乱した現場で、操作に慣れていない従業員がクラウドサービスを使う場合にも、直感的に操作できるデザインがベストです。また、日常業務に使うツールならば、業務効率が上がるような使いやすさは欠かせません。
さらに、トラブル時に迅速に対応してくれるサポート窓口があれば、なお安心です。
安心できるクラウドサービスの例(操作性・サポート体制の観点)
- 操作に慣れていない従業員でも使えるような、直感で使えるUI/UXになっているか
- 分かりやすいFAQやマニュアルが整備されているか
- 操作が分からないときに、電話やチャットなどで迅速なサポートを受けられるか
BCP対策においては、平常時とはまったく異なるパニック下での利用が想定されます。たとえセキュリティが強固で多機能ないいクラウドサービスでも、操作が分かりにくいと復旧や業務再開に支障がでる恐れがあります。
導入前や無料トライアルの段階で、実際の災害時を想定した「テスト訓練」を行い、従業員から直接使い勝手のフィードバックを得て、改善するというサイクルは欠かせません。
5-3. クラウドサービス自身のセキュリティ対策も万全か
クラウドサービスを選ぶ際には、そのサービス自体がサイバー攻撃やランサムウェアなどによるインシデントを起こさないための、高いセキュリティ対策を講じているかどうかも重要です。
近年、大手企業がサイバー攻撃を受け、長期間にわたってサーバーが停止したり、多額の身代金を要求されたりする事案が相次いでいます。
BCP対策のために導入したはずのクラウドが、サービス側の脆弱性によって「止まる」「流出する」といった事故を起こしてしまえば、有事の際に機能しないばかりか企業として大きな損失を抱えてしまいます。
安心できるクラウドサービスの例(セキュリティ対策の観点)
- サイバー攻撃や内部不正に対する具体的な対策を講じているか
- 24時間体制での監視など、監視体制が万全か
- 通信の暗号化やアクセス制御、ウイルス対策などの基本機能が備わっているか
- ISO/IEC 27001(ISMS)などの第三者認証を保持し、組織的な安全管理体制が客観的に証明されているか
- 管理画面が分かりやすく、「誤って公開設定にしてしまう」ような操作ミスが起きにくい設計か
クラウドサービスの脆弱性の確認はもちろん、設定に問題がないかや、誤った設定をしやすい設計になっていないかなども確認しましょう。
5-4. 大規模災害時のアクセス集中に耐えられる設計になっているか
クラウドサービスを選ぶ際には、有事のアクセス集中を想定したインフラ設計がなされているかも重要です。
とくに安否確認システムやチャットツールのような連絡手段となるクラウドサービスでは、災害直後に全従業員が一斉にアクセスする可能性が考えられます。
アクセス集中によりシステム停滞や通知遅延が発生すると、緊急で連絡を取りたくても取れず、初動が遅れたり被害が拡大したりするリスクがあります。
安心できるクラウドサービスの例(アクセス集中への耐性の観点)
- アクセス急増を検知して自動でサーバーの処理能力を拡張する「オートスケーリング」を実装している
- 実際に一斉アクセス訓練を行っており、通知の遅延や画面のフリーズが発生しなかった実績を持っている
「クラウドだから安心」と思っていると、いざというときに安否確認が行えず、後悔する羽目になりかねません。サイト上の表記だけでなく、実際に高負荷テストなどを行っているサービスが安心です。
大規模災害でも止まらない安否確認システムならトヨクモ『安否確認サービス2』がおすすめ!
BCPの実効性を高めるためには、アクセスが集中しても止まらない/遅延しない安否確認の手段を用意しておくことが重要です。
そこでおすすめしたいのが、4,000社以上の企業に選ばれているトヨクモの『安否確認サービス2』です。
トヨクモの『安否確認サービス2』なら、気象庁連動による安否確認メールの自動送信や世界各地に分散させたデータセンターのリスク対策など、大災害でも止まらない確かな安心で「もしものとき」を支えます。
安否確認システム選びでは、「災害時にシステムが安定して働くこと」が何よりも重要です。
トヨクモの『安否確認サービス2』は、全国一斉訓練を継続的に実施することで実際の災害時にシステムが安定して働くことを証明し続けるとともに、SLA(サービス品質保証)で高品質なサービスを維持しています。現在までに保証基準を下回ったことは一度もないので、安心してご利用ください。
さらに、誰でも使いやすくシンプルで直感的な操作が可能です。災害時のパニック状態では、複雑な操作はできません。
『安否確認サービス2』は、ITreview(安否確認システム部門)の「満足度・使いやすさNo.1(※)」の評価を得ており、サービス利用継続率も99.8%と極めて高い水準を誇っています。
(※ITreviewカテゴリーレポート 2024summer 安否確認システム部門)
30日間の「無料お試し」ではすべての機能を何度でもご利用いただけます。まずは無料でシステムの操作性をお確かめください。
6. まとめ
本記事では「BCPクラウド」について解説してきました。最後に、要点を簡単にまとめておきます。
◆BCP対策におけるクラウドの活用例
- クラウドにデータを移して脅威から守る
- クラウドの高度なセキュリティ対策を利用する
- 業務をクラウド化して事業停止を回避する
- 迅速な安否確認・初動対応を実現する
◆ただし「クラウド=BCP対策が万全」ではない点に注意が必要
- 注意点1:SaaSかIaaSかで「セキュリティ対策として関われる幅」が異なる
- 注意点2:ネット回線が絶たれればつながらなくなる
- 注意点3:被災時でもログインできるよう管理しなければならない
- 注意点4:クラウドサービス自体が停止する可能性もゼロではない
◆BCP対策でクラウドを活用するための5つのステップ
- ステップ1:現状の整理・把握をして目標水準を決める
- ステップ2:クラウド活用の方針を策定する
- ステップ3:BCP対策に活用するクラウドサービスを選ぶ
- ステップ4:クラウドサービスを導入・構築する
- ステップ5:BCP計画を更新して定期的に訓練を行う
◆BCP対策に最適なクラウドサービスを選ぶポイント
- データセンターが複数拠点ありリスクを分散できるか
- 操作性の高さ・サポート体制も問題ないか
- クラウドサービス自身のセキュリティ対策も万全か
- 大規模災害時のアクセス集中に耐えられる設計になっているか
BCP対策を考えるうえでクラウド活用は非常に重要な要素となります。一方でシステムの安全性や復旧の確実性は選んだサービスに大きく依存するため、自社の要件に合致するかどうかを慎重に見極めて選定することが大切です。
